[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:00197] 【続報】DebianProjectマシンへのセキュリティ侵害について

To: orca-announce@xxxxxxxxxxxxxx
Subject: [ORCA-ANNOUNCE:00197] 【続報】DebianProjectマシンへのセキュリティ侵害について
From: orca-announce@xxxxxxxxxxxxxx
Date: Thu, 04 Dec 2003 18:58:46 +0900

ORCAサポートセンタです。いつもお世話になっております。

11月22日でご案内差した［ORCA-ANNOUNCE:00196］、Debian Project
のサーバマシンが侵入された問題の続報が、12月1日に出されました。
この続報により、問題となった点が明確になりました。
(参考情報 URLを参照してください)

これを受け、ORCAプロジェクトのセンターサーバの対応を行いました。
同時に、アップグレード(apt-get)自粛のお願いを解除します。

ただし、今回の問題は、新たな Linux kernel のセキュリティホールであった
ことが公表され、その Linux kernel のセキュリティホールを修正した kernel 
パッケージがDebian Project から出されています。
そのため、皆様に行っていただきたい作業がありますので、合わせてご連絡
いたします。

■皆様にやっていただくこと
  ・ Linux kernel のアップデート
　　現在の Debian の安定版は 2.4.18 で、これが標準となります。
　　そのため、Linux kernel バージョンが 2.4.18 の場合は、今回の問題に対応
　　した修正版の Linux kernel が提供されています。
　　kernel パッケージは、バイナリ版が 2.4.18-12 となり kernel-image で提供
　　されています。
　　ソースパッケージ版は 2.4.18-14 となり kernel-source で提供されいます。
　　kernel バージョン 2.4.18 を使っている方は、apt-get により 2.4.18-12 に
　　入れ換えてください。
　　また、Debian Project から提供されている以外のカーネルパッケージを使っ
　　ている場合は、最新版の 2.4.23 にアップデートする必要があります。

■質疑応答
 Q1: apt-getでバージョンアップをやっても構わないのですか？
 A1: 構いません。
　　apt-get を行うと、標準の 2.4.18 kernel の場合、2.4.18-12に置き換わり
　　ます。
　　ただし、既に 2.4.18 がインストールされている場合、apt-get upgrade を
　　行うと、カーネルの展開の時点で、

　　/lib/modules/2.4.18-1-686/ を上書きしますが、
　　/lib/modules/2.4.18-1-686.old
  　　などにバックアップしますか？
  　　アップデートを止める(Y/n)

　　というメッセージが出ます。
　　＃メッセージは、英語で表示されます。
　　バックアップしていない場合は、ここで Y もしくは ENTER でアップデートを
　　中断できます。
　　既にバックアップ済み、もしくはバックアップせずアップデートをしたい場合
　　は n を押してアップデートを継続してください。

 Q2: apt line に修正を施す必要がありますか？
 A2: security.debian.org を加えてください。
　　既に加えてある場合は、特に修正を施す必要はありません。
　　apt line ： deb http://security.debian.org/ woody/updates main contrib non-free

 Q3: kernel バージョンが 2.4.18 でない場合は、どうすればよいですか？
 A3: 利用しているカーネルパッケージによりますが、手順については、以下
　　の2通りがあります。

　　* カーネルソースからコンパイルしてインストールされた方
　　現状動いているLinux kernelの設定ファイルを用意して make oldconfig 
　　などで設定を行い、コンパイル、インストールをし、再起動をしてください。
　　現状動いているLinux kernelの設定ファイルは、ソースディレクトリに
　　.config というファイルで残されています。
　　また、Debian Projectによりリリースされているカーネルをインストールした
　　場合は、
　　   /boot/config-2.4.18-1-686
　　のように、config-(バージョン番号) で残されています。
 
　　* deb パッケージでカーネルインストールされた方
　　＃apt-get install kernel-image-2.4.18-1{-686}
　　{-686}部分は適宜読み替えてください。
　　で、Debian GNU/Linux の安定バージョンをインストールします。
　　もしくは、kenrel.org で配布されている安定バージョンの2.4.23で deb 
　　パッケージを作成し、インストール、再起動をしてください。

　　また、それぞれの手順について、ブートローダの設定を忘れないように
　　注意してください。

■参考情報
　・Debian Project からのアナウンス原文
http://lists.debian.org/debian-security-announce/debian-security-announce-2003/msg00212.html

　・その他情報
　　日本語による情報としては以下のサイトも参考にしてください：
http://slashdot.jp/slash/03/12/01/2356223.shtml

お手数をおかけしますが、よろしくお願いいたします。

-- 
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.html
T: 03-5319-4665 D-FAX: 020-4623-1358
認定事業所専用フリーダイアル: 0800-600-5506(Go Go ORCA)

Prev by Date: [ORCA-ANNOUNCE:00196] 【緊急のお知らせ】アップグレードは控えて下さい
Next by Date: [ORCA-ANNOUNCE:00198] 日医標準レセプトソフト ver 2.0 提供
Previous by thread: [ORCA-ANNOUNCE:00196] 【緊急のお知らせ】アップグレードは控えて下さい
Next by thread: [ORCA-ANNOUNCE:00198] 日医標準レセプトソフト ver 2.0 提供
Index(es):
- Date
- Thread